Qu'est-ce qu'un ransomware ou rançongiciel ?

François Verrier
Spécialiste logiciels et apps
02 décembre 2020 à 14h11
0

Véritables menaces visant à la fois les entreprises et les particuliers, les rançongiciels, anglicisés en « ransomwares », sont des attaques informatiques qui se développent de plus en plus. Des noms comme WannaCry, Petya ou encore CryptoLocker ont ainsi largement occupé l'actualité depuis le début des années 2000. Mais que sont exactement les ransomwares ? Comment fonctionnent-ils et quelles sont leurs cibles ? Faisons un tour d'horizon dans cet article.

De manière générale, un rançongiciel est un logiciel malveillant qui prend en otage les données d'une personne, d'une organisation ou d'une entreprise en les chiffrant ou en bloquant l'accès à l'ordinateur. Il est ensuite demandé à la victime de payer une rançon pour déchiffrer les données ou accéder à nouveau à son PC.

Si les méthodes peuvent changer, les objectifs resteront les mêmes : extorquer de l'argent ou mettre la main sur des données sensibles. Dans tous les cas, il est important de bien identifier ces menaces ainsi que leurs procédés. Pour en savoir plus sur les attaques malveillantes et apprendre à vous en prémunir, n'hésitez pas à consulter notre article « De quoi me protègent un antivirus et une suite de sécurité ? ».

Origines et historique des ransomwares

En faisant un court historique des ransomwares, il est facile de se rendre compte de l'étendue de leur champ d'action. Entre les attaques ciblées sur les professionnels et les techniques de grande ampleur, les fraudeurs ont associé des méthodes d'escroquerie à leur compétence en sécurité informatique.

  • 1989 : PC Cyborg est un ver informatique distribué fin 1989 sur
    des disquettes destinées à des laboratoires spécialisés sur la recherche
    contre le SIDA. Le hic ? La disquette chiffre l'intégralité du disque
    C: au bout de 90 redémarrages. Un message avertit alors la victime que
    son ordinateur est chiffré et demande une rançon de 189 $. La personne à
    l'origine de cette attaque s'avère être le biologiste Joseph Popp, un
    chercheur passionné d'informatique aux intentions restées floues.
  • 2004 : PGPCoder est l'un des premiers à chiffrer les données des PC
    infectés et à demander une rançon à la victime pour les déchiffrer.
  • 2007 : Le ransomware WinLock va un peu plus loin dans la
    malveillance en bloquant l'ordinateur de ses victimes et en affichant
    des images à caractère pornographique. Une rançon par SMS est alors
    demandée pour supprimer ces images et accéder à nouveau à son PC.
  • 2012 : le rançongiciel du FBI se répand aux États-Unis grâce au
    ransomware Reverton. Ce type d'attaque effraie ses victimes en leur
    demandant de payer une amende pour un délit fictif. Pour plus de
    crédibilité, des éléments visuels sont détournés et réutilisés. En
    France par exemple, le logo de la gendarmerie fut repris.
  • Depuis 2013 : des attaques d'ampleur comme CryptoLocker, ou encore
    WannaCry mais aussi Petya, depuis 2017, ont fait, partout dans le monde,
    des millions de victimes chez les particuliers, les organisations et
    les entreprises. Le bras de fer continue entre la cybercriminalité et
    les entreprises de sécurité qui permettent de déchiffrer ces données.
08763758-photo-la-ransomware-badrabbit.jpg
Le ransomware BadRabbit

Comment se fait-on infecter par un ransomware ?

Pour la plupart des ransomwares, la méthode d'infection est quasi identique : le virus s'introduit dans le système et chiffre le contenu de certains dossiers ou empêche le bon fonctionnement de l'ordinateur. Une fenêtre ou un message s'affiche alors à l'écran, informant que les données ont été chiffrées et qu'une rançon doit être payée pour revenir à la normale.

Ce genre de fichiers malveillants peut s'introduire sur un PC de plusieurs manières, à commencer par le biais de tentatives d'hameçonnage. Les ransomwares sont alors cachées dans les pièces jointes ou des liens piégés d'e-mails provenant d'escrocs en ligne. Des méthodes plus insidieuses existent, notamment via des publicités sur des sites web peu recommandables, comme des pages de piratage ou de téléchargement illégal.

Les ransomwares peuvent aussi venir de fichiers téléchargés, de faux codecs ou lecteurs vidéo en ligne, de documents vérolés ou de logiciels crackés provenant de plateformes de partage peer-to-peer. Sur ce dernier point, nous vous conseillons de choisir un logiciel de sécurité reconnu et de privilégier un téléchargement sur le site de l'éditeur.

La plupart du temps, l'infection par un ransomware résulte d'un manque de protection de l'ordinateur, d'une maladresse ou d'une erreur humaine.

Les différents types de ransomwares

L'histoire des ransomwares continue d'évoluer au gré des avancées technologiques et des découvertes effectuées par les cybercriminels. Nous avons choisi de dégager cinq grandes familles relatives à la demande de rançon :

  • Les verrouilleurs d'écran (lockscreen) empêchent l'utilisation totale ou partielle de l'ordinateur. L'écran peut ainsi être verrouillé par un faux avertissement de la police demandant une rançon pour un délit fictif. Ce type de menace vise à susciter la peur chez les personnes dont l'ordinateur est infecté. Il est cependant un peu mis à l'écart par le deuxième type de ransomware.
  • Les rançongiciels de chiffrement - aussi connus sous le nom de « crypto-ransomwares » - ont pour but de chiffrer les données et fichiers des victimes, empêchant ainsi leur lecture. Une rançon est alors demandée afin de pouvoir les déverrouiller. Il s'agit du type d'attaques majoritaire.
  • Les scarewares représentent les menaces les moins dangereuses, mais elles n'en restent pas moins tenaces. Ce sont de faux outils de sécurité qui affichent des messages d'alerte évoquant une menace inexistante. La victime est invitée à passer la main au portefeuille pour débloquer une version complète et supprimer ces prétendues menaces.
  • Les tentatives de doxing sont un ensemble de techniques visant à dérober les données sensibles d'une victime dans le but de la faire chanter, en menaçant de publier, au choix, ses photos personnelles, ses identifiants ou ses données bancaires. Même si les doxing ne sont pas des ransomwares dans la forme, la demande de rançon est toutefois une constante.
08616096-photo-ransomware-popcorn-time.jpg
Exemple de ransomware par chiffrement avec compte à rebours

Un ransomware décline rarement son identité lors du premier rendez-vous, cependant il existe plusieurs méthodes pour identifier un rançongiciel qui bloque nos données.

Qui est visé par les ransomwares ?

Si les particuliers ont été les premières victimes des attaques de ransomwares, les cybercriminels ont également jeté leur dévolu sur les entreprises et les organisations - plus à même de payer des rançons importantes. Dans ce cas, les enjeux sont aussi parfois d'ordre stratégique. Qu'elles concernent un particulier ou une entreprise, les méthodes d'infection restent globalement les mêmes : exécution d'un fichier corrompu et téléchargement d'une pièce jointe vérolée.

Une menace pour tous les secteurs

Pour les particuliers, les attaques sont généralement propagées par des campagnes massives, via des listes d'e-mails sur les réseaux sociaux, et même par SMS. Si les entreprises peuvent connaître le même type d'attaques, certaines - visant à mettre à mal une entreprise ou une organisation en particulier - sont en revanche ciblées .

Selon un rapport de sécurité daté de 2017 et élaboré par l'entreprise Malwarebytes, 35 % des entreprises sondées ont été victimes d'une attaque de type ransomware dans les 12 derniers mois. La rançon est rarement payée, pourtant, à cause du temps d'arrêt du système informatique, le rançongiciel causera plus de dégâts financiers que de dommages sur les données. On peut par ailleurs noter que des secteurs comme la finance semblent davantage concernés par ce type d'attaques. Dans ce domaine, 54 % des entreprises auraient ainsi été récemment impactées par un ransomware.

Dans le même registre, des organisations et administrations ont, par le passé, été durement touchées par des attaques de rançongiciels. Citons notamment la ville de Baltimore, victime d'un ransomware à grande échelle en mai 2019 bloquant plus de 10 000 postes informatiques. Des services municipaux s'étaient alors retrouvés hors service, ce qui a entraîné l'impossibilité de régler ses factures pour des milliers de personnes,.

Une menace sur de nombreux supports

Si les attaques via ransomwares sont majoritairement à destination des ordinateurs et serveurs sous Windows, des menaces sont aussi apparues sur d'autres plateformes.

Les rançongiciels sont ainsi également répandus sur mobiles et notamment sous Android. En effet, les équipes de recherche d'ESET ont mis en lumière, courant 2019, une nouvelle famille de ransomwares se propageant par SMS. Les victimes reçoivent un message comprenant un lien piégé qui installe une application malveillante. Les données sont alors chiffrées et une demande de rançon s'affiche à l'écran. Les ransomwares utilisent ensuite le carnet d'adresses et envoient des messages vérolés aux contacts.

0258000008630580-photo-android-tv-smart-tv-infect-malware-ransomware.jpg
Android TV infectée par un ransomware

Les ordinateurs sous macOS ne sont pas en reste. Ils ont connus leur premier ransomware en 2016, appelé KeRanger et propagé par BitTorrent Transmission. Si l'impact de la menace fut limité et n'a fait que peu de victimes, cette attaque a aussi mis en lumière de nombreuses vulnérabilités de MacOS.

Ainsi, quels que soient la plateforme et le secteur d'activité, il est recommandé de savoir se prémunir et se débarrasser des ransomwares. En adoptant les bons réflexes, vous protégerez votre domicile et/ou votre entreprise de ces menaces.

Modifié le 26/05/2021 à 14h20
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Pourquoi nous faire confiance ?

Pour vous, Clubic sélectionne puis teste des centaines de produits afin de répondre aux usages les plus courants. De la qualité pour tous et à tous les prix, voilà notre objectif ! En savoir plus

Haut de page